[HowTO] Lag en enkel brannmur for PCen din ved hjelp av Firehol

Alejandro (a.k.a KZKG^Gaara)

3 minutter

Artikkel hentet fra vår Forum, lagt ut av bruker Yukiteru.

Hei alle sammen, vel, her gir jeg deg en liten og enkel opplæring, for å lage en * brannmur * ved hjelp av et enkelt program som heter ** Firehol **.

Årsaken til dette er å gi datamaskinene våre litt mer sikkerhet i internettforbindelsene våre, noe som aldri gjør vondt.

Hva er Firehol?

Men først hva er Firehol:

> Firehol, er et lite program som hjelper oss med å administrere brannmuren integrert i kjernen og dens iptables-verktøy. Firehol mangler et grafisk grensesnitt, all konfigurasjon må gjøres gjennom tekstfiler, men til tross for dette er konfigurasjonen fortsatt enkel for nybegynnere, eller kraftig for de som leter etter avanserte alternativer. Alt som Firehol gjør er å forenkle etableringen av iptables-regler så mye som mulig og muliggjøre en god brannmur for systemet vårt.

Med den introduksjonen til hva Firehol er og gjør, la oss komme inn på hvordan du installerer det i systemene våre. La oss åpne en terminal og skrive:

Installere Firehol på Debian og derivater

Vi åpner en terminal og setter:

`sudo apt-get install firehol '

Hvordan sette opp Firehol

Når firehol er installert, fortsetter vi med å åpne firehol-konfigurasjonsfilen, som ligger i * / etc / firehol / firehol.conf *, for dette kan vi bruke tekstredigeringsprogrammet du ønsker (gedit, medit, leafpad)

`sudo nano / etc / firehol / firehol.conf`

Der og da kan vi fortsette å plassere følgende innhold:

# $ Id: client-all.conf, v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # Denne konfigurasjonsfilen lar alle forespørsler som kommer fra den # lokale maskinen sendes gjennom alle nettverksgrensesnitt. # # Ingen forespørsler tillates å komme fra nettverket. Verten blir # helt skjult! Den vil ikke svare på noe, og den vil ikke # være pingbar, selv om den vil kunne stamme fra noe # (til og med ping til andre verter). # versjon 5 # Godtar all innkommende trafikk fra et grensesnittgrensesnitt, uansett hvilken som helst verden # Tilgangspolicy, DROP, det vil si avvise alle innkommende pakkepolitikkfall # All aktiv beskyttelsespolicy, hjelper til med å unngå angrep som SYN Flood, Arp Poison , blant annet beskyttelse av alle # Server policyer, Tjenester som vil fungere (Web, Mail, MSN, Irc, Jabber, P2P) # Bare for servere, hvis du vil endre eller opprette nye tjenester, tilknyttede porter og protokoller # les firehol manualen . #server "http https" godta # server "imap imaps" godta # server "pop3 pop3s" godta # server "smtp smtps" godta # server irc godta # server jabber godta # server msn godta # server p2p godta # Client policy, all utgående trafikk aksepteres klient godtar alle

Denne enkle koden er mer enn nok for en grunnleggende beskyttelse av datamaskinene våre, og så lagrer vi den og avslutter teksteditoren.

Nå må vi få firehol til å starte automatisk på hver oppstart, og for dette går vi til filen * / etc / default / firehol *, hvor vi vil endre en linje med følgende kode:

`START_FIREHOL = ja`

Vi lagrer endringene i filen, og nå utfører vi:

`sudo / sbin / firehol start '

Klar!!! Med denne fireholen har allerede blitt satt i drift og har opprettet de nødvendige brannmurreglene, og for å se at det er slik, er det bare å løpe:

`sudo iptables -L`

For paranoiden kan du gå til ShieldUP-siden! og teste den nye brannmuren, vil de helt sikkert bestå testen.

Jeg håper det hjelper.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   nofeel sa
    hace 9 år

    Utmerket opplæring, enkelt og effektivt, ett spørsmål, hvor kan jeg se hvem som prøvde å få tilgang til eller komme med en forespørsel til datamaskinen min, med firehol installert

    Svar på NoFeel
  2.   Upassende informasjonskapsel sa
    hace 9 år

    https://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/

    For Arch 🙂

    Svar på InceedingCookie
  3.   F01AEXNUMXD sa
    hace 9 år

    Beklager, men det er verre enn å redigere iptables.
    Jeg forstår den gode intensjonen, men det er søppel.
    Hilsen fra paranoiden.

    Svar på zetaka01
    1.    F01AEXNUMXD sa
      hace 9 år

      Bortsett fra at du er iptables-utvikler, noe jeg vil sette pris på. Et lite grafisk miljø ville ikke være dårlig. Selv om det er crappy som i python.
      Takk, unnskyld og vennlig hilsen.

      Svar på zetaka01
      1.    syndemann sa
        hace 9 år

        VI ØNSKER IKKE INSULTER, SPAM ELLER DÅRLIG MELK I DENNE BLOGGEN !!!!
        IKKE MER!!!
        Filtrerte de ikke kommentarene?

        Svar til sinnerman
      2.    livlig sa
        hace 9 år

        @sinnerman stille, i prinsippet har @ zetaka01s kommentar ikke fornærmet meg, og jeg tror ikke det støter den opprinnelige forfatteren av innlegget heller. Du har rett til å si din mening, selv om du ikke deler den. Hvis det virkelig krenker på noen måte, vil kommentaren din gå til / dev / null. 😉

        Svar til elav
      3.    mario sa
        hace 9 år

        Jeg synes ikke kommentaren er dårlig melk. I RedHat har jeg sett at disse grensesnittene eksisterer. Det er ikke så vanskelig å lære iptables, når du leser denne bloggen litt finner du manus.

        Svar til mario
    2.    yukiteru sa
      hace 9 år

      Verre enn å redigere iptables? Vel, hvis det er det du synes, respekterer jeg det. Men jeg tror det utvilsomt er bedre å skrive:

      serveren "http https" godtar

      og har porter 80 og 443 åpne for å kunne bruke apache eller hvilken som helst annen webserver, må du skrive:

      iptables -A INNGANG -i eth0 -p tcp –dport 80 -m state –state NEW, ESTABLISHED -j ACCEPT
      iptables -A INNGANG -i eth0 -p tcp –dport 443 -m state –state NEW, ESTABLISHED -j ACCEPT

      Og selv om du har endret portene, er det like enkelt å gjøre konfigurasjonen i Firehol for å gjøre disse endringene.

      Svar til Yukiteru
      1.    Hugo sa
        hace 9 år

        Ah men med iptables har du mye mer fleksibilitet. Hvis det du vil ha, er noe grafisk for en klient, kan du bruke noe som firestarter.

        Svar på Hugo
      2.    yukiteru sa
        hace 9 år

        @Hugo med firehol mister du ikke noen av iptables-alternativene, siden det for øyeblikket tilbyr full støtte til alle iptables-alternativene, inkludert IPv6.

        Når det gjelder fleksibilitet, er Firehol veldig komplett i dette området, slik at NAT, DNAT, definisjon av eksplisitte regler for hvert grensesnitt i systemet, spesifikk filtrering av porter etter IP- og MAC-adresser, det lar deg gjøre QOS, etablere DMZ, gjennomsiktig cache , fjern trafikklassifisering, og til og med manipulere den totale trafikken til de forskjellige forbindelsene du har.

        I et nøtteskall; Firehol er kraftig, og det mangler absolutt et grensesnitt, men det er hovedsakelig rettet mot serversektoren der Xs ikke er nødvendige eller avanserte brukere som ikke vil ha en grafisk brannmur.

        Svar til Yukiteru
  4.   yukiteru sa
    hace 9 år

    For de som bruker Debian Jessie, tar den elskede / hatede systemd over ved å starte firehol-skriptet riktig (noen ganger tar det hele 30 sekunder bare ved å starte brannmuren), så jeg anbefaler å deaktivere demonen med systemctl deaktiver firehol, og installer den iptables-vedvarende pakken, og lagre brannmurkonfigurasjonen ved hjelp av denne metoden.

    Svar til Yukiteru
  5.   som sa
    hace 9 år

    Utmerket innlegg ... Elav, guiden er gyldig for Ubuntu-derivater? Et innlegg fra FIREWALL (PF) for FreeBSD-systemet som også er tekstlig, ville være bra.

    Svar på wen
    1.    livlig sa
      hace 9 år

      Firehol fungerer perfekt på Debian og derivater.

      Svar til elav